19 Ocak 2017

Kişisel Verilerin Saklanması ve Gizliliğinin Korunması Yönetmeliği Nedir?


Kişisel verilerin saklanması ve gizliliğinin korunmasını ele alan, 28363 sayılı “Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik” 24 Temmuz 2012 tarihli Resmi Gazete’de yayınlanmıştı ve belirtildiği üzere yayım tarihinden altı ay sonra da yürürlüğe girecek.

Öncelikli olarak belirtmek gerekir: Kişisel veri belli veya belirlenebilir olan gerçek veya tüzel bir kişiye ilişkin her türlü bilgiyi ifade eder. Kişisel verilerin korunması insan haklarıyla yakından ilişkili bir konu. Zira kişisel verilerin açıklanması yoluyla kişilerin en başta özel hayatlarının gizliliği ihlal edilebileceği gibi bir takım diğer hakları da (örneğin kişilik hakkı) zarar görebilir.

Günümüzde elle yazılma gibi geleneksel yöntemlerle kişisel verilerin ortaya çıkması hala mümkünken, bilgisayar yoluyla elektronik ortamlarda kişisel verilerin işlenerek bunların veri bankalarında depo edilmesi ise asıl yaygın olan.

Kişisel verilerin bu şekilde elektronik ortamlarda depo edilmesi sağlayacağı yararları yanında bir takım zararları da ortaya çıkarabiliyor. Konuyla ilgili 5237 sayılı Türk Ceza Kanunu’nda mevcut olan bu düzenlemelerde; (1) hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilir ve (2) kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır” ibareleri yer almakta.

Bu maddenin teknolojik gelişmelerin çok hızlı yaşandığı bilişim sektörü için yetersiz olduğu açık. Bu sebeple bu konuda çıkarılan yeni yönetmelik isabetli oldu.

28363 sayılı yeni yönetmeliğin amacı; “kişisel verilerin işlenmesinde kişinin dokunulmazlığı, maddi ve manevi varlığı ile temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları esas ve usulleri düzenlemek”. Bu yönetmelik kişisel verilerin korunması konusunda Avrupa Birliği ilkeleri göz önünde bulundurularak hazırlandı. Bu noktada, kişisel verilerin; hukuka ve dürüstlük kurallarına uygun olarak işlenmesi, ilgili kişinin rızasına dayalı olarak işlenmesi, elde edilme amacıyla bağlantılı, yeterli ve orantılı olması, doğru olması ve gerektiğinde güncellenmesi, ilgili kişilerin kimliklerini belirtecek biçimde ve kaydedildikleri veya yeniden işlenecekleri amaç için gerekli olan süre kadar muhafaza edilmesi esastır.

28363 sayılı yönetmeliğin getirdiği yenilikler arasında önemli konulardan birisi de işletmecilere (yönetmelikte “işletmeci”, yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirket olarak tanımlanmış) getirilen yükümlülükler oldu. Yönetmeliğin 5. maddesi söz konusu işletmecileri sağladıkları hizmetlerin güvenliğinden sorumlu tutmakta, verilerin yetkili kişiler dışında üçüncü kişiler tarafından erişilememesi için gerekli güvenlik önlemlerinin alınmasını da işletmecilerin sorumluluğuna bırakmakta.

İşletmeciler ayrıca verilerin güvenliği konusundaki herhangi bir riski veya gerçekleşen bir güvenlik ihlalini derhal kullanıcılara ve yetkili kişilere bildirmekle yükümlüler. Ayrıca işletmeciler verilere ve ilişkili diğer sistemlere sağlanan tüm erişimlere ve erişim yetkisi olan personelin yaptığı işlemlere dair detaylı işlem kayıtlarını beş yıl süreyle tutmakla yükümlüler. Bu maddenin konulma amacı herhangi bir güvenlik ihlali oluştuğu anlaşıldığında üzerinden zaman geçse dahi bu kayıtlar sayesinde ihlalin kaynağına ulaşılabilmenin mümkün olması.

28363 sayılı yönetmelikte ayrıca elektronik haberleşmenin gizliliğinin esas olduğu belirtildi ve ilgili mevzuat, yargı kararları veya tarafların rızası olmaksızın bu gizliliğin ihlal edilemeyeceği vurgulandı. Yeni yönetmelik ayrıca trafik verisini (yönetmelikte “trafik verisi” bir elektronik haberleşme şebekesinde haberleşmenin iletimi veya faturalama amacıyla işlenen her türlü veri olarak tanımlandı) de koruma altına aldı. İşletmeciler, sundukları hizmetlerin kapsamı dışındaki amaçlar için trafik verisi işleyemeyecekler.

Verilerin korunması gibi aynı şekilde konum verilerinin (yönetmelikte “konum verisi” kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen veriler olarak tanımlanmıştır) korunmasına da yönetmelikte yer verilmiş, gene ilgili mevzuat, yargı kararları veya tarafların rızası olmaksızın elektronik cihazların konumunun ifşa edilmesi önlenmek istenmiş.

28363 sayılı yönetmelik, saklanacak veri kategorilerini geniş bir şekilde belirlemiş bulunuyor. Bu verilerin saklama süresini “işletmeciler tarafından haberleşmenin gerçekleştiği tarihten itibaren 1 yıl süreyle” saklanır ibaresi de ayrıca eklenmiş.

İşletmecilerin 28363 sayılı yönetmelik ile belirlenen yükümlülükleri yerine getirmemeleri halinde, 5/9/2004 tarihli ve 25574 sayılı Resmî Gazete’de yayımlanan “Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler Hakkında Yönetmelik” hükümlerinin uygulama alanı bulacağı da belirtildi.



Sosyal medya ve e-bülten ile de EticaretMag'ı takip edebilirsiniz!

EticaretMag Twitter EticaretMag 

Facebook Sayfası EticaretMag Youtube EticaretMag Google+ E-ticaret 

Türkiye Linkedin Grubu E-

ticaretMag RSS E-

ticaretMag RSS

Yorumlar

  1. gmaile giremiyom bu gizliliği kaldırnnnn lütfennnn

Fikrini söyle

*